>
Research (Insikt)

Chinas Cybersicherheitsgesetz verleiht dem Ministerium für Staatssicherheit beispiellose neue Befugnisse über ausländische Technologie

Veröffentlicht: 31. August 2017
Von: Insikt Group

insikt-group-logo-alt.png

In diesem Beitrag bieten wir eine ausführliche Analyse der chinesischen Informationssicherheitsorganisationen, die zur Unterstützung des Teils der nationalen Sicherheitsüberprüfung des neuen chinesischen Cybersicherheitsgesetzes (CSL) hinzugezogen wurden, und enthüllen eine erweiterte Rolle für ein vom Ministerium für Staatssicherheit geführtes Büro.

Executive Summary

Am 1. Juni 2017 trat nach jahrelangen nationalen und internationalen Debatten endlich Chinas nationales Cybersicherheitsgesetz in Kraft. Ein großer Teil des Gesetzes konzentrierte sich auf den Schutz der Daten chinesischer Nutzer. In Bewertungen des Gesetzes wurden jedoch die möglichen negativen Auswirkungen auf ausländische Unternehmen und Technologien sowie die Schwierigkeiten bei der Einhaltung der belastenden, vagen und weit gefassten neuen gesetzlichen Anforderungen hervorgehoben.

Die Untersuchungen von Recorded Future konzentrierten sich auf die weitreichenden Befugnisse, die das Cybersicherheitsgesetz dem China Information Technology Evaluation Center (CNITSEC) einräumt, einer Niederlassung des wichtigsten chinesischen Auslandsgeheimdienstes, des Ministeriums für Staatssicherheit (MSS). Das Gesetz gibt den „Netzwerkinformationsabteilungen“, darunter CNITSEC, die Befugnis, „ nationale Sicherheitsüberprüfungen“ (siehe Artikel 35) von Technologien durchzuführen, die ausländische Unternehmen auf dem chinesischen Markt verwenden oder verkaufen möchten.

Durch die Einbindung des MSS in die Informationssicherheitsarchitektur Chinas über CNITSEC (1) kann es möglicherweise Schwachstellen in ausländischen Technologien erkennen, die China dann für seine eigenen Geheimdienstoperationen ausnutzen könnte. Außerdem wird es (2) für ausländische Unternehmen eine unmögliche Wahl sein, entweder ihre proprietäre Technologie oder ihr geistiges Eigentum dem MSS zu überlassen oder vom chinesischen Markt für Informationstechnologie ausgeschlossen zu werden, der im Jahr 2018 ein Volumen von 242 Milliarden US-Dollar erreichen soll.

china-cybersicherheitsgesetz-2a.jpg

Hintergrund

In unserem Blogbeitrag vom Mai 2017, in dem wir die Bedrohungsakteursgruppe APT3 dem chinesischen MSS zuschreiben, haben wir auch eine chinesische Informationssicherheitsorganisation identifiziert, die tatsächlich vom MSS betrieben wird – CNITSEC, in diesem Beitrag auch als „das Zentrum“ bezeichnet.

China-Cybersicherheitsgesetz-1.png

Einer in „China and Cybersecurity: Espionage, Strategy, and Politics in the Digital Domain“ veröffentlichten wissenschaftlichen Studie zufolge wird CNITSEC vom MSS betrieben und beherbergt einen Großteil der technischen Cyber-Expertise des Geheimdienstes. CNITSEC wird vom MSS verwendet, um „Schwachstellentests und Bewertungen der Softwarezuverlässigkeit durchzuführen.“ Einem Telegramm des US-Außenministeriums aus dem Jahr 2009 zufolge wird angenommen, dass China bei Geheimdienstoperationen auch Schwachstellen ausnutzt, die sich aus den Aktivitäten des CNITSEC ergeben. Der frühere Direktor und aktuelle Parteisekretär des CNITSEC, Wu Shizhong, bezeichnet sich selbst sogar als MSS, was auch seine Tätigkeit als stellvertretender Leiter des chinesischen National Information Security Standards Committee noch im Januar 2016 einschließt.

Analyse

Die Rolle von CNITSEC im neuen Regulierungssystem für Informationstechnologie wurde erst in den letzten Monaten deutlich, als der chinesische Staat begann, Regelungen zur Unterstützung des CSL auszuarbeiten und zu veröffentlichen.

Das Cybersicherheitsgesetz ist weit gefasst und die Sprache vage

Bevor wir uns mit der Rolle von CNITSEC befassen, ist es wichtig, zunächst die relevanten Abschnitte des CSL und die Verpflichtungen zu prüfen, die für ausländische Unternehmen voraussichtlich anfallen (eine gute englischsprachige Übersetzung finden Sie bei China Law Translate). Für Unternehmen ist es wichtig, sich der Ungenauigkeit und Breite des CSL sowie des Nationalen Sicherheitsgesetzes von 2015 bewusst zu sein. Denn beide enthalten eine vage Formulierung, auf die sich die chinesischen Behörden berufen können, um Überprüfungen der nationalen Sicherheit, den Datenaustausch mit Regierungsbehörden und sogar Inspektionen proprietärer Technologien oder geistigen Eigentums zu erzwingen.

Einer der am schlechtesten definierten Abschnitte des Gesetzes war bei seiner Verabschiedung im November 2016 „Kapitel Drei: Sicherheit des Netzwerkbetriebs“. Kapitel drei umfasst 18 Artikel, die die Verantwortung der „Netzwerkbetreiber“ für den „Schutz der Netzwerksicherheit“ und zusätzliche rechtliche Verantwortlichkeiten für Unternehmen definieren, die „kritische Informationsinfrastrukturen“ betreiben.

Nur einer der drei oben genannten Begriffe wurde im Gesetz selbst definiert. Im CSL heißt es, dass „Netzbetreiber“ „Netzbesitzer, -manager und -dienstanbieter“ sind. Laut einer Analyse des Gesetzes durch KPMG :

Als „Netzbetreiber“ können auch Unternehmen und Institutionen bezeichnet werden, die über Netzwerke Dienstleistungen anbieten und Geschäftsaktivitäten durchführen. Zu den Netzbetreibern können neben den herkömmlichen Telekommunikationsbetreibern und Internetunternehmen auch folgende Unternehmen gehören:
  • Finanzinstitute, die persönliche Daten der Bürger erfassen und Online-Dienste bereitstellen, etwa Bankinstitute, Versicherungsgesellschaften, Wertpapierfirmen und Stiftungen.
  • Anbieter von Produkten und Dienstleistungen im Bereich Cybersicherheit.
  • Unternehmen, die über Websites verfügen und Netzwerkdienste anbieten.

Dabei handelt es sich um eine so weit gefasste Auslegung des Begriffs, dass sie jedes Unternehmen umfassen könnte, das das Internet nutzt oder Benutzerdaten in China sammelt. Darüber hinaus unterliegen Unternehmen, die als „Netzbetreiber“ eingestuft werden, einer Überprüfung durch staatliche Regulierungsbehörden, wenn sie jemals große Mengen an Nutzerdaten ins Ausland übertragen möchten (siehe Artikel 37).

Laut Artikel 28 des CSL sind „Netzbetreiber“ zudem verpflichtet, den öffentlichen und staatlichen Sicherheitsbehörden bei der „Wahrung der nationalen Sicherheit und der Aufklärung von Straftaten“ Unterstützung zu leisten. Dies könnte dazu führen, dass Unternehmen den chinesischen Strafverfolgungsbehörden und staatlichen Sicherheitsbehörden Informationen über Nutzer oder Aktivitäten übermitteln müssen, die im Westen nicht als Verbrechen gelten – insbesondere nicht als „ internetbezogene Verbrechen“. Zu diesen „internetbezogenen Straftaten“ gehört unter anderem die Nutzung des Internets, um „Fakten zu erfinden oder zu verdrehen, Gerüchte zu verbreiten, die öffentliche Ordnung zu stören“, „andere zu beleidigen oder zu verleumden“ und „schädliche Informationen“ zu verbreiten. Eine Untergruppe der „Netzbetreiber“ wird vom Gesetz als Betreiber einer „kritischen Informationsinfrastruktur“ eingestuft und unterliegt noch strengeren Vorschriften und Kontrollen. Der Text des CSL klassifiziert „kritische Informationsinfrastrukturen“ wie folgt:

Öffentliche Kommunikations- und Informationsdienste, Energie, Verkehr, Wasser, Finanzen, öffentliche Dienste, elektronische Regierung (E-Government) und andere kritische Informationsinfrastrukturen, deren Zerstörung, Funktionsverlust oder Datenleck die nationale Sicherheit, die Volkswirtschaft und den Lebensunterhalt der Menschen oder das öffentliche Interesse ernsthaft gefährden könnten.

Die Definition der „nationalen Sicherheit“ durch den chinesischen Staat wurde im Juli 2015 im „ Nationalen Sicherheitsgesetz“ wie folgt formalisiert:

Das relative Fehlen internationaler oder innerstaatlicher Bedrohungen für die Regierungsgewalt, die Souveränität, die Einheit und territoriale Integrität des Staates, das Wohlergehen der Bevölkerung, eine nachhaltige wirtschaftliche und soziale Entwicklung und andere wichtige nationale Interessen sowie die Fähigkeit, einen dauerhaften Zustand der Sicherheit zu gewährleisten.

Unternehmen in diesem Sektor sowie alle von ihnen erworbenen Produkte oder Dienstleistungen werden zudem einer „Überprüfung der nationalen Sicherheit“ unterzogen. Wie die Financial Times berichtete, hat die Regierung in diesem Zusammenhang das Recht, „Quellcodes von Computerprogrammen anzufordern“ und „in das geistige Eigentum der Unternehmen einzudringen“. In dem Artikel heißt es außerdem: „Sogar Fast-Food-Lieferdienste könnten als kritische Infrastruktur betrachtet werden, so die Shanghaier Regulierungsbehörden im Rahmen einer Pilotphase für das Gesetz“, vermutlich weil sie über persönliche Informationen von Millionen chinesischer Nutzer verfügen.

Die Rolle von CNITSEC im CLS bietet Möglichkeiten zur MSS-Sammlung. Wie in unserem Blog zu APT3 und dem MSS dargelegt und oben noch einmal ausführlich beschrieben, hat CNITSEC seine Beziehung zum MSS nie offiziell anerkannt, aber der Auftrag des Zentrums, dem chinesischen Staat, der Partei und Regierungsorganisationen zu dienen sowie Prüfungen gemäß dem CSL durchzuführen, ist gut dokumentiert.

  • Auf der Website des CNITSEC wird beschrieben, dass das Zentrum von der Zentralregierung mit dem umfassenden Mandat ausgestattet wurde, Sicherheitslücken und Risikoeinschätzungen in den Informationsnetzwerken von Parteien und Regierungen zu untersuchen sowie Sicherheitstests für Informationstechnologien, Produkte und Systeme durchzuführen. Zudem verfüge es über „erstklassige“ Ressourcen und Geräte zur Schwachstellenanalyse sowie über professionelle technische Forschungs- und Entwicklungslabore.
  • In einem Interview mit der chinesischsprachigen Zeitung Southern Metropolitan im Juni 2017 bestätigte CNITSECs Chefingenieur Wang Jun, dass CNITSEC von der chinesischen Regierung für die Durchführung der nationalen Sicherheitsüberprüfungen im Rahmen des CSL zertifiziert worden sei. Wang erläuterte weiter, dass eine Überprüfung von einer zuständigen staatlichen Behörde, einem nationalen Industriezweig oder vom Markt, d. h. von den Nutzern und der Öffentlichkeit, initiiert werden könne.
  • Auf einer Konferenz Ende des Monats hielt Wang eine Grundsatzrede zum gleichen Thema und stellte dabei eine explizite Verbindung her zwischen Artikel 59 des Nationalen Sicherheitsgesetzes von 2015, der die gesetzliche Anforderung einer Überprüfung der nationalen Sicherheit und der Aufsicht über ausländische kommerzielle Investitionen, Technologien, Produkte und Dienstleistungen festlegt, den Sicherheitsüberprüfungen, die im Rahmen von Chinas 13. Fünfjahresplan vorgeschrieben sind, und den nationalen Sicherheitsüberprüfungen, die im Rahmen des CSL vorgeschrieben sind.

Wang (Foto unten) betonte in seiner Rede auch, dass sich die nationalen Sicherheitsüberprüfungen des CSL auf die möglichen Auswirkungen auf die nationale Sicherheit, Sicherheitsrisiken, Sicherheitszuverlässigkeit, Kontrolle, Sicherheitsmechanismen und technologische Transparenz konzentrieren würden. Er beharrte weiterhin darauf, dass die Prüfungen von professionellen „Dritten“ durchgeführt würden, die vorgeblich objektiv und unabhängig seien. Dass jedoch CNITSEC, eine Abteilung des MSS, als zertifizierter Prüfer der nationalen Sicherheit hervorgeht, stellt jede andere Organisation in Frage, die ebenfalls eine solche Zertifizierung besitzt.

china-cybersicherheitsgesetz-3.png

CNITSEC betreibt außerdem die China National Vulnerability Database of Information Security (CNNVD), das nationale Bewertungszentrum für Informationssicherheit, und ist für den Aufbau, den Betrieb und die Wartung der nationalen Datenverwaltungsplattform für Informationssicherheitsschwachstellen verantwortlich.

china-cybersicherheitsgesetz-4.png

Offenkundig funktioniert CNNVD ähnlich wie andere National Vulnerability Databases (NVD), etwa die NVD des National Institute of Standards and Technology (NIST) der US-Regierung, die von einer Abteilung des Ministeriums für Innere Sicherheit (DHS) betrieben wird und deren Aufgabe es ist, Software-Sicherheitslücken öffentlich zu identifizieren, zu melden und Patches dafür zu erstellen. Obwohl es in China kein genaues Äquivalent zum DHS gibt, ist die Mission und der Aufgabenbereich des Ministeriums für öffentliche Sicherheit (MPS) dem des chinesischen DHS am ähnlichsten und wird allgemein als Gegenstück zum chinesischen DHS angesehen. Das dem MSS in den USA am nächsten kommende Gegenstück ist die Central Intelligence Agency (CIA). Allerdings ist der MSS auch befugt, in China Informationen zu sammeln, wobei einige Funktionen denen des Federal Bureau of Investigation (FBI) ähneln. Zum Vergleich: Das MSS, das das CNNVD betreibt, wäre ungefähr dasselbe wie die CIA, die das NIST NVD betreibt.

Das grundlegende Problem bei der Leitung von CNITSEC und CNNVD durch den MSS und allgemeiner bei der Rolle des MSS in der organisatorischen Infrastruktur der chinesischen Informationssicherheit besteht darin, dass der MSS Chinas „ führender ziviler Geheimdienst“ ist, der sowohl für Auslandsaufklärung als auch für Spionageabwehroperationen zuständig ist. Laut dem Buch „ Chinas Sicherheitsstaat: Philosophie, Evolution und Politik“ ist der MSS „für die Sammlung und Auswertung ziviler Geheimdienstinformationen mit Relevanz für die nationale Sicherheit sowie für die Durchführung von Spionageabwehroperationen gegen das Ausland verantwortlich.“

Dies bedeutet, dass der MSS die weit gefassten Formulierungen und neuen Befugnisse des chinesischen Cybersicherheitsgesetzes nutzt, um möglicherweise Zugriff auf Schwachstellen in ausländischen Technologien zu erhalten, die er dann für seine eigenen Geheimdienstoperationen ausnutzen könnte. Die MSS haben ein Mitspracherecht bei der Meldung von Schwachstellen über den CNNVD, da sie diesen betreiben. Zudem könnten sie kritische Schwachstellen in Software oder Hardware leicht identifizieren und vor der Öffentlichkeit verbergen, um sie dann für ihre eigenen Zwecke zu nutzen.

Es gibt zwei entscheidende Unterschiede hinsichtlich der Art und Weise, wie das MSS das CNNVD betreiben könnte, und der Art und Weise, wie die CIA oder NSA mit dem NIST NVD-System interagieren. Erstens: Obwohl umfassend dokumentiert ist, dass die von der ETERNAL-Reihe der NSA-Tools ausgenutzten Schwachstellen weder Microsoft noch dem NIST NVD bekannt waren, bevor sie von der ShadowBrokers-Gruppe erworben wurden, ist die NSA nicht im NIST NVD aufgeführt und hat diese Schwachstellen auch nicht aktiv aus der Datenbank zensiert. Das MSS betreibt (über CNITSEC) das CNNVD und kann die der Öffentlichkeit gemeldeten Schwachstellen unterdrücken oder kontrollieren.

Zweitens könnte das MSS die vom CNNVD durchgeführten Forschungsergebnisse zur Unterstützung seiner Operationen nutzen. US-Geheimdienste wie die NSA und die CIA identifizieren Schwachstellen auf der Grundlage ihrer eigenen Untersuchungen und dürfen die nicht öffentlichen Forschungsergebnisse des NIST NVD nicht nutzen.

Auswirkungen

Da die Definitionen im CSL vage und undurchsichtig sind, stehen viele ausländische Unternehmen – insbesondere jene, die zur „kritischen Informationsinfrastruktur“ zählen – vor der schwierigen Entscheidung, entweder ihre proprietäre Technologie/ihr geistiges Eigentum dem MSS zu überlassen oder vom chinesischen Markt ausgeschlossen zu werden. Wenn sie zulassen, dass ihre Technologie einer Sicherheitsüberprüfung durch das MSS unterzogen wird, kann dies als Nebenfolge dazu führen, dass aktuelle Kunden oder Benutzer einem höheren Risiko von vom chinesischen Staat gesponserten Cyberangriffen ausgesetzt werden.

Ausländische Unternehmen, die in China geschäftlich tätig werden möchten – insbesondere solche in den Sektoren der „kritischen Informationsinfrastruktur“ – stehen nun vor einer Vielzahl technischer, rechtlicher und ethischer Entscheidungen im Zusammenhang mit ihrer Geschäftstätigkeit in China, die zuvor möglicherweise nicht berücksichtigt wurden. Diese Entscheidungen werden sich auf die taktischen und strategischen Pläne und Abläufe von Unternehmen in einem breiten Spektrum vertikaler Branchen auswirken.

Erstens müssen Unternehmen, die wissen, dass das MSS Schwachstellen in proprietären Produkten oder Dienstleistungen aufdecken und operationalisieren könnte, drei mögliche Risikoszenarien bewerten:

  • Gefährdung der eigenen Maschinen oder Netzwerke des Unternehmens.
  • Risiko für das Produkt oder die Dienstleistung eines Unternehmens.
  • Derivaterisiko für Kunden, Klienten oder Benutzer auf der ganzen Welt.

Die meisten in China verwendeten Produkte und Dienste unterscheiden sich nicht völlig von ihren globalen Pendants. Dadurch steigt das Risiko, dass die vom MSS entdeckten Schwachstellen ausgenutzt werden könnten, um internationale Benutzer dieser Maschinen, Netzwerke, Produkte und Dienste auszunutzen. Unternehmen in diesem vage definierten Sektor der „kritischen Informationsinfrastruktur“ sind am stärksten gefährdet. Dazu gehören wahrscheinlich Software- und Hardwareanbieter, SaaS- (Software as a Service), IaaS- (Infrastructure as a Service) und PaaS-Unternehmen (Platform as a Service), Cloud-, Sicherheits- und Netzwerkanbieter und viele mehr.

Zweitens könnte eine Kooperation mit den chinesischen Behörden durch die Bereitstellung von Informationen zu den Themen inländischer Ermittlungen dazu führen, dass sich Unternehmen in Europa und Nordamerika öffentlicher Kritik, Klagen und möglicher Rüge durch mehrere Regierungsebenen aussetzen. Im Jahr 2007 geriet Yahoo ins Fadenkreuz einer parteiübergreifenden Anhörung im Kongress, nachdem das Unternehmen den chinesischen Behörden Informationen zukommen ließ , die im Zusammenhang mit der Inhaftierung eines regimekritischen Journalisten standen. Der Vorstandsvorsitzende und der Generalrat des Unternehmens wurden vom Vorsitzenden des Ausschusses für auswärtige Angelegenheiten des Repräsentantenhauses als „ moralische Pygmäen“ und „ unverantwortlich“ gebrandmarkt und sind seit dem Vorfall gezwungen, ihren Ruf bei Bürgerrechtsgruppen zu verteidigen. Yahoo war sogar gezwungen, einen privaten Rechtsstreit im Zusammenhang mit der Zusammenarbeit mit der chinesischen Regierung beizulegen . Um ähnliche Schwierigkeiten in Zukunft zu vermeiden, werden künftig noch mehr Unternehmen gezwungen sein, den Spagat zwischen der Einhaltung chinesischer Vorschriften und der Befolgung westlicher Geschäftsethik zu schaffen.

Anmerkung der Redaktion

Dies soll keine Rechtsberatung oder Rechtsbeistand ersetzen. Bei weiteren Fragen zum chinesischen Gesetz zur Cybersicherheit sollten Sie unbedingt einen Rechtsberater vor Ort konsultieren.

Verwandt